De nouveaux outils pour sécuriser les paiements sur le net

Les banquiers mettent en place des outils de sécurité inédits qui devraient doper le commerce électronique en France : un numéro de Carte bleue à usage unique et une clé d'identification supplémentaire pour les cartes bancaires.

L'Usine Nouvelle

07 novembre 2001 \ 16h52

5 min. de lecture

Mon actualité personnalisable

Profitez à tout moment des informations clés selon vos intérêts.

Sélectionnez les thèmes qui vous intéressent :

Gérer mes thèmes favoris

5 min. de lecture

L'Usine Nouvelle

07 Novembre 2001 \ 16h52

De nouveaux outils pour sécuriser les paiements sur le net

L'information est officielle : le Groupement d'intérêt économique en charge de la Carte bleue va proposer cet été aux banques un nouveau service destiné à sécuriser les achats en ligne. Son principe ? Fournir au porteur de Carte bleue un numéro de carte à usage unique baptisé CVD, pour Carte virtuelle dynamique. L'idée s'est imposée à la suite d'un sondage réalisé en novembre dernier. Celui-ci révèle que le principal frein du commerce en ligne est la peur des clients de transmettre les coordonnées de leur carte bancaire sur le Web. Selon ce sondage, 81 % des internautes interrogés se disent prêts à utiliser un service qui fournirait un numéro unique pour chaque transaction. Le GIE Carte bancaire a donc lancé un appel d'offres pour proposer une solution répondant à cette attente. " La technologie qui devrait être retenue a été mise au point par la société Orbiscom ", confie une source proche du groupement. Alliée à Intelmatic, une filiale de France Télécom qui fournirait les serveurs et l'infrastructure réseau, la solution de la jeune start-up irlandaise l'aurait emporté face à celle proposée par l'alliance Schlumberger-Atos. Au début de 2000, Orbiscom avait déjà compris que la transmission du numéro de carte personnel effrayait les cyberconsommateurs. D'où l'idée d'un système qui attribue un numéro différent à chaque transaction. Une prouesse rendue possible grâce au grand nombre de combinaisons autorisées sur seize chiffres (10 millions de milliards). Concrètement (voir schéma ci-contre), le client installe un logiciel sur son ordinateur, qui appelle la banque au moment d'effectuer une transaction - il peut aussi se connecter sur le site Web de sa banque avec un mot de passe. Equipée d'un serveur spécifique, la banque note la requête du client et lui envoie un numéro de carte bancaire provisoire. Cette solution limite les risques, car, si des fraudeurs parviennent à intercepter le numéro, une seule transaction est perdue. En Irlande, la banque AIB (Allied Irish Bank) utilise déjà la solution d'Orbiscom depuis août dernier. Plus de 10 % de ses clients auraient souscrit à ce service dès les trois premiers mois. L'un des avantages du système est qu'il ne nécessite pas d'investissement, pour les commerçants. Seules les banques doivent mettre en place un serveur dont le coût reste limité. La solution du GIE Carte bleue, le groupement qui gère la marque Carte bleue Visa pour plus de 200 banques françaises, sera présentée en détail le 27 février. " Le service sera proposé aux banques au meilleur prix, car le GIE Carte bleue est un groupement qui ne prend pas de marge, explique un porte-parole. Celles-ci commercialiseront ensuite le service comme elles le voudront. " Universelle, la carte bancaire s'adapte La mise en place des Cartes virtuelles dynamiques s'inscrit dans un mouvement de modernisation des cartes bancaires qui s'adaptent aux besoins du commerce électronique. Economique et simple à utiliser, la carte bancaire a l'avantage d'être un standard universel. L'achat par transmission des numéros de carte de crédit reste le moyen de paiement le plus utilisé sur Internet, mais la fraude pose problème. Vol des numéros inscrits sur les facturettes, piratage de base de données des commerçants, logiciels de génération de faux numéros, les banquiers ont compris qu'il leur fallait rapidement renforcer la sécurité des paiements par carte sur le Net. " La fraude fait peur aux clients, ce qui limite le chiffre d'affaires des sites marchands. Conscients du phénomène, les commerçants hésitent à investir pour sécuriser leur site. Nous essayons de sortir de ce cercle vicieux ", explique Cédric Sarazin, porte-parole du groupement des cartes bancaires. Deux problèmes ont été identifiés qui pénalisent le commerce électronique. La peur de voir son numéro tomber entre de mauvaises mains est grande pour l'acheteur, et la mise en place de numéros virtuels devrait le rassurer. Pour le marchand, c'est la difficulté à vérifier l'identité du porteur de la carte qui est problématique. Car, en cas de fraude, le paiement n'est pas garanti. Pour renforcer la sécurité, le GIE Carte bancaire travaille donc avec l'ensemble des groupements de cartes de crédit de la planète à mettre en place un outil de vérification supplémentaire, baptisé " cryptogramme visuel ". Il s'agit de trois chiffres, qui sont aujourd'hui systématiquement inscrits au dos des nouvelles cartes de crédit. Ces derniers permettent de valider les transactions à distance. Un algorithme utilisé par les commerçants permet de vérifier que la personne qui donne les seize chiffres de la carte possède la carte et peut fournir le cryptogramme visuel inscrit sur celle-ci. Des solutions inadaptées aux micropaiements " Ce système empêche les fraudes à la facturette et le piratage des bases de données des commerçants ", explique Cédric Sarazin. " En même temps que nous dif-fusons des cartes équipées du système, nous expliquons aux commerçants comment utiliser ce code et leur demandons de ne pas mémoriser l'information sur leurs serveurs comme ils l'ont fait avec les numéros de carte bancaire. " Autre fraude visée par le système, les logiciels de " carding ", qui génèrent de vrais-faux numéros de cartes. " L'algorithme utilisé est particulièrement ro-buste, et chaque banque a sa propre clé, ce qui limite la portée d'un improbable piratage ", explique Cédric Sarazin. En d'autres termes, il est a priori impossible de calculer le cryptogramme à par- tir des seize chiffres de la carte. "Evidemment, si le fraudeur a volé la carte à puce, le système est inopérant, mais cette part de la fraude est relativement faible ", remarque Cédric Sarazin. La mise en place du cryptogramme visuel est programmée à l'échelle mondiale. " Les premiers essais auront lieu cet été. Le système devrait être généralisé à l'été de 2002 ", expose Cédric Sarazin. Les deux solutions que les banquiers mettent actuellement en place visent à redonner du crédit au paiement par carte. Elles vont pouvoir compléter des solutions qui tardent à décoller, comme les lecteurs de cartes à puce de la société Cyber-Comm (voir encadré). A terme, le paiement par carte a toutes les chances de s'imposer. Une seule fonctionnalité semble toutefois lui échapper, celle des micropaiements. Du morceau de musique à l'article de journal, en passant par le timbre, les biens ou services facturés moins de 10 francs posent problème. Pour chaque transaction, le réseau carte bancaire prélève un pourcentage variable à la banque du commerçant (70 centimes plus 0,21% du montant de la transaction, plus un très faible pourcentage lié à la fraude), ce qui grève lourdement les petits montants. De nombreuses solutions de portefeuille électronique qui apportent une solution existent. Mais, faute de standard, aucune ne s'est vraiment imposée. Les banques ont un rôle majeur à jouer, mais elles ne sont pas intéressées par la mise en place d'un standard commun pour ce marché somme toute confidentiel.

David Maume

Malgré ses qualités, Cyber-Comm reste au point mort Lancé en avril dernier, le système de paiement en ligne Cyber-Comm a bien du mal à décoller. Soutenue par les principaux établissements bancaires français, la solution s'appuie sur l'utilisation par le client d'un lecteur de cartes à puce personnel connecté à l'ordinateur. Tandis que la société tablait sur le lancement sur un parc installé de 200 000 lecteurs à la fin de 2000, seulement 20 000 exem-plaires sont aujourd'hui en circulation ! La solution est pourtant, de l'avis des experts, la plus simple et la plus sûre à l'heure actuelle. Pour protéger les échanges d'informations entre le client et le site Web marchand, le système utilise un protocole de sécurité renforcé, baptisé SET, pour Secure Electronic Transaction. En outre, aucun numéro de carte bancaire ne circule sur Internet. Le client compose son code à quatre chiffres sur son lecteur, et la transaction s'effectue directement via le réseau sécurisé des cartes bancaires. Alors, pourquoi ce retard à l'allumage ? " Les banques, encore en phase d'observation, tardent à proposer la solution à leurs clients ", commente- t-on de source proche. L'utilisateur doit actuellement débourser 300 francs pour s'équiper d'un lecteur. Un investissement important, quand on sait que peu de sites marchands ont investi pour supporter le protocole SET. Seulement une trentaine d'entre eux s'y sont mis. Les concepteurs du système restent toutefois confiants et pronostiquent un décollage cette année. " L'arrivée des numéros virtuels va pouvoir compléter notre solution ", explique Claude Megglé, directeur " sécurité " chez Cyber-Comm. Selon lui, le porteur équipé d'un lecteur de cartes à puce qui souhaite acheter sur un site non SET pourra bientôt se procurer un numéro virtuel en s'authentifiant en toute sécurité avec son lecteur auprès de sa banque. En attendant, bien sûr, la généralisation du système.

PARCOURIR LE DOSSIER

RETOURS GAGNANTS POUR SAP ET PEOPLESOFT

e-commerce

Vente en ligne LE DILEMME DES MARQUES

Relation Client L'"e-mail marketing" pour PME

Itipi : Tester la montée en charge de sites web

Covisint dopé par le soutien de PSA Peugeot Citroën

e-commerce

Créer son catalogue en ligne

Mieux vendre grâce aux jeux

Troquer ses surplus en ligne

De nouveaux outils pour sécuriser les paiements sur le net

Mon actualité personnalisable

Sujets associés

Le premier câble transatlantique (2/2)

Le premier câble transatlantique (1/2)

Monstre et compagnie

Le London Bridge, attraction touristique... en Arizona

ARTICLES LES PLUS LUS